<div><br></div><div><br></div><blockquote class="protonmail_quote" type="cite"><div dir="ltr"><div style="font-size:small">So in the ordinary state of affairs, the host recognizes packets from Alice by their source address+port and this is used to obtain the shared secret used to decrypt the remainder of the message.<br></div><div style="font-size:small"><br></div><div style="font-size:small">If the client source address+port change, the host is going to respond with a packet saying 'unrecognized connection' and bounce the source address and port back to the client. The client then realizes that its outbound connection config has changed and we need to rebind.<br></div><div style="font-size:small"><br></div><div style="font-size:small">One option would be a packet 'claiming' the prior source address+ip but that seems ugly. I would like to have as little connecting one packet to another  as possible

enclair.<br></div></div></blockquote><div><br></div><div>What is the problem?<br></div><div><br></div><div>Host replies "Unrecognized connection, here is a random single use point *H* on the elliptic curve to which only I know the corresponding random single use scalar *h*"<br></div><div><br></div><div>Alice replies "Here is a random single use point *A* on the elliptic curve to which only I know the corresponding scalar *a*, and what follows shall be decrypted by our shared secret *aH=hA"<br></div><div><br></div><div>The computation of a shared secret takes two and half microseconds on my computer using the curve Ristretto25519.  You don't need to economize on shared secrets.<br></div><div><br></div>